[debian-users 00261] Re: *.amazonaws.comとの通信

Papils debian @ virtualowl.net
2018年 3月 23日 (金) 11:32:09 JST


返信ありがとうございます。

tcpdumpの記録を引用します。

11:17:57.253119 IP UralOwl.38914 > 
ec2-13-114-184-94.ap-northeast-1.compute.amazonaws.com.https: Flags [.], 
ack 2743, win 512, options [nop,nop,TS val 1153550 ecr 986166369], length 0

UralOwlが私のメインマシンです。

接続先がamazonawsのホスト名になります。

"ec2-"と"compute.amazonaws.com"の間は同様ですが同一ではありません。

方向は、inとoutが頻繁に入れ替わっています。

aptには"ftp.jp.debian.org"を設定しています。

DebianをGNOMEデスクトップ環境でインストールし、tcpdumpをインストールしてモニタしてみると早速amazonawsにしきりに送信しているので気味が悪いです。

もう少し詳しく調べてみたいと思います。ありがとうございます。


On 2018年03月23日 11:09, Tatsuki Sugiura wrote:
> こんにちは。杉浦と申します。
>
>> amazonawsと通信するのはDebianの仕様でしょうか。
> 自分の知る限りだと、初期状態の最小構成 Debian なら、
> *.compute.amazonaws.com に*向かって*通信はしません。
>
> でも、*.compute.amazonaws.com からなら、ssh, SMTP, HTTP(s)
> smb, rdp あたりにスキャンが来るのは別に珍しいことではありません。
> # それを「不正アクセス」と呼ぶならまあそうですが、別に aws 以外
> # にも世界中から一杯来ます。
>
> 通信と言っても色々あり、発信元ポートと接続先ポート、それから接続の方向に
> 注目しないと不審かどうか何とも言えないと思われます(出来ば中身も)。
>
>
> あとちなみに、apt line に ftp.jp.debian.org を設定している場合は、
> AWS の DNS とは通信するようです(ns-*.awsdns-*.* みたいなの)。
>
> これは Debian の仕様、という訳ではなくて、単に ftp.jp.debian.org
> が現状 DNS として AWS を使っているからです。
> パッケージのミラーは今は AWS 上にはないようなので、apt は compute とは
> 通信しないと思われます。
>
>>>> In Message "[debian-users 00257] Re: *.amazonaws.comとの通信"
>>>>             <40a8e16b-a4a3-7f85-80b6-4e18576bc7d8 @ virtualowl.net>,
>>>> Papils <debian @ virtualowl.net>  said;
>> 説明不足だったので追伸します。申し訳ありません。
>> 今回の件で不正アクセスがあったのは、家庭のコンピュータで、ホームページ
>> へのアクセスはそれを裏付ける客観的に明らかな証拠になります。
>> 不正アクセス被害を受けていたのは家庭のマシンで、そのひとつがDebianにな
>> ります。現在はホームページは休止中で、不正アクセス被害を受けているか否
>> かは分からない状況です。
>> 家庭のDebian上でtcpdumpを利用してモニタリングしていたら、webサイト上で
>> 見掛けたものとよく似たアドレスと通信していたので、不審に思っています。
>> amazonawsと通信するのはDebianの仕様でしょうか。
>> ご存じの方がいらっしゃいましたら教えて頂けると幸いです。
>> On 2018年03月22日 23:46, debian @ virtualowl.net wrote:
>>> 初めてメールします。
>>> Debianを5年少々利用していますが、どうしても分からないことがあったので、今回メーリングリストに登録し、お便りすることにしました。
>>>
>>> 昨年私の家庭のルーターを経由して、私の管理するホームページへ、私が所有していないOS/ブラウザから、身に覚えのないアクセスがあり、不正アクセスの疑いで今も調査しています。
>>> そこで、tcpdump を利用してパケットをモニタリングしていたところ、昨年の不正アクセスの際にも私の管理するホームページへアクセスがあった、*.compute.amazonaws.com などとしきりに通信している様でした。
>>>
>>> *.compute.amazonaws.comとの通信は、Debianをインストールした段階で起こりうる、全く不正ではない通信でしょうか。tcpdump 以外インストールしていない状況では起こり得ない不審な通信でしょうか。
>>>
>>> いきなり失礼かとは思いましたが、Debianに関して質問するにはここが適切だと思い、お便りしました。
>>> 拙文で読み辛いかとは思いますが、ご存じの方がいらっしゃいましたら教えて頂けると幸いです。
>>> よろしくお願いします。
>>>
>>> 2018年3月22日(JST)
>>> Papils
>> _______________________________________________
>> debian-users mailing list
>> debian-users @ debian.or.jp
>> https://lists.debian.or.jp/mailman/listinfo/debian-users



debian-users メーリングリストの案内